14
11443195.4012-037 99
4 ФОРМИРОВАНИЕ ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА НА ОСНОВЕ ИНФОРМАЦИИ В ЖУРНАЛЕ РЕГИСТРАЦИИ СОБЫТИЙ
В состав комплекса “Аккорд” входят две сервисные утилиты, которые
позволяют на основе информации, записанной в журнале регистрации событий, создавать файлы с описанием правил разграничения доступа. Администратор с
помощью редактора ПРД ACED32.EXE может импортировать данные из файлов с расширением .prd в настройки пользователя, или группы пользователей. Программа LogToPRD.EXE формирует ПРД для объектов на основе дискреционных атрибутов
доступа (подробнее см. документ «Установка правил разграничения доступа. Программа ACED32» пункт 6.10). Программа AcProc.EXE формирует ПРД для
процессов на основе мандатных атрибутов доступа. Работа этих программ основывается на анализе журналов регистрации событий. Выполняется просмотр выбранного файла журнала, и объекты помещаются в список. Администратор может
выбрать нужные объекты, установить для них атрибуты доступа и сохранить результат в файле, который в дальнейшем может быть импортирован программой-
редактором.
4.1 Работа с программой LogToPRD
При запуске программы LogToPRD.EXE на экран выводится главное окно,
разделенное на два поля (рисунок 15). Левое поле предназначено для списка объектов, сформированного на основе анализа журнала. Правое поле – это список выбранных объектов с установленными атрибутами доступа, который предназначен для сохранения.
Рисунок 15 - Главное окно программы
Для выбора анализируемого журнала нажмите кнопку с изображением папки в
левом верхнем углу. Открывается окно выбора файла журнала (рисунок 16).
15
11443195.4012-037 99
Рисунок 16 - Выбор журнала для анализа
Отметьте файл журнала, который необходимо проанализировать и нажмите кнопку <Открыть>. На экран выводится сообщение «Выполняется обработка журнала. Ждите…». После завершения обработки журнала в левом поле главного
окна отображается список объектов в виде дерева каталогов и файлов (рисунок 17).
Рисунок 17 - Список объектов, полученный на основе анализа журнала
С левой стороны от наименования каталога (подкаталога) выводится знак <+>, если в этом каталоге имеются вложенные файлы и папки. Щелчок левой кнопкой мыши на этом знаке открывает каталог на следующий уровень. Чтобы поместить
16
11443195.4012-037 99
объект в правое поле, нужно отметить его в списке и нажать одну из кнопок с изображением стрелок. Нажатие кнопки с одиночной стрелкой (>) помещает в список ПРД имя выбранного файла, или каталога. Нажатие кнопки с двойной стрелкой (>>)
помещает в список ПРД все объекты из отмеченного каталога. Чтобы удалить из списка ПРД какой-либо объект, нужно отметить его и нажать клавишу с одиночной
обратной стрелкой (<). Нажатие двойной обратной стрелки (<<) полностью очищает список ПРД в правом поле окна.
После того, как список объектов сформирован, необходимо назначить
правила разграничения доступа каждому объекту. Окно установки ПРД открывается при двойном щелчке мыши на строке в правом списке, или после выбора строки и
нажатия клавиши <Enter> (рисунок 18).
Рисунок 18 - Окно установки атрибутов доступа
После того, как установлены атрибуты доступа к объектам, следует сохранить
настройки в файл. Нажмите кнопку с изображением дискеты над правым полем главного окна программы. Открывается диалог выбора файла для сохранения
(рисунок 19).
17
11443195.4012-037 99
Рисунок 19 - Выбор файла для сохранения ПРД
Можно выбрать существующее имя файла, или ввести новое. Изменение
расширения файла не допускается. Данные из сохраненного файла можно импортировать пользователю, или группе пользователей в программе ACED32.EXE.
4.2 Работа с программой AcProc
При запуске программы AcProc.EXE на экран выводится окно, представленное на рисунке 20.
Рисунок 20 - Главное окно программы AcProc.EXE
Поле “Файл журнала” предназначено для выбора анализируемого журнала регистрации. Щелкните мышью по кнопке с изображением папки в правой части поля. Открывается окно выбора журнала (рисунок 16). Отметив нужный файл,
18
11443195.4012-037 99
нажмите кнопку <Открыть>. Программа сканирует журнал и выводит в окне список процессов с указанием уровня доступа (рисунок 21).
Рисунок 21 - Сформированный список процессов
Если установлен флаг “Добавлять процессы в список”, то можно собрать в одном списке процессы из нескольких журналов. Для этого необходимо выполнить выбор следующего журнала. Процессы, которых нет в списке, будут добавлены. Эту
процедуру можно повторять несколько раз.
При включении в список все процессы получают самый низкий уровень доступа. Администратор может изменить уровень доступа процесса в соответствии с принятой политикой безопасности. Для изменения уровня доступа необходимо двойным щелчком мыши выбрать нужный процесс. На экран выводится окно
установки (рисунок 22).
Рисунок 22 - Установка нового уровня доступа
Нажатие кнопки со стрелкой в поле «Категория доступа» выводит список
установленных в СЗИ уровней доступа, которые можно присвоить данному процессу.
После того, как список полностью откорректирован, необходимо выполнить
сохранение настроек в файле правил доступа. Нажмите кнопку <Сохранить файл
ПРД> В окне сохранения (рисунок 19) введите имя файла и нажмите кнопку
19
11443195.4012-037 99
<Сохранить>. Данные из сохраненного файла можно импортировать пользователю, или группе пользователей в программе ACED32.EXE.
Список исполняемых файлов можно сохранить в файл с расширением .HSH.
Этот файл предназначен для импорта списка файлов в процедуру контроля целостности в программе-редакторе ACED32.EXE (см. документ «УСТАНОВКА
ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА ПРОГРАММА ACED32.» п.7.10). Например, файлы, которым установлены уровни доступа, будут контролироваться на целостность в процедуре динамического контроля перед каждым запуском, что
повышает уровень защищенности системы. Для сохранения списка нажмите кнопку <Сохранить файл HSH>. В окне сохранения (рисунок 23) введите имя файла и
нажмите кнопку <Сохранить>. Данные из сохраненного файла можно импортировать пользователю в программе ACED32.EXE.
Рисунок 23 - Сохранение списка файлов для процедуры контроля целостности
ВНИМАНИЕ! После импорта файлов в редакторе ACED32 необходимо пересчитать контрольные суммы.
Еще одна полезная функция – это анализ работы процесса, запускаемого с
разными уровнями доступа с объектами, которые имеют разные метки
конфиденциальности. Данная функция помогает сформировать списк объектов, которым нужно присвоить метку доступа «ОБЩИЙ_РЕСУРС». Это кнопка <Общий
ресурс> в главном окне программы (рисунок 21).
Для полноценного анализа событий детальность журнала исследуемого
пользователя должна быть высокой, а режим работы монитора безопасности
«мягкий». Контроль доступа включается дискреционный+мандатный+процессы. Процессу, который должен работать с разными ресурсами администратор
устанавливает самый высокий уровень доступа и флаг «может понизить пользователь». После установки соответствующих настроек в программах AcSetup.exe и AcEd32.exe компьютер необходимо перезагрузить и начать работу в
сессии того пользователя, которому установлен высокий уровень детальности журнала. Во время работы пользователь запускает программу, выбирая разные уровни доступа, и открывает документы из папок с разными метками
конфиденциальности.
После завершения сеанса пользователя идентифицируется администратор и
запускает программу AcProc.EXE. Администратора выбирает журнал предыдущего
20
11443195.4012-037 99
сеанса работы пользователя. После нажатия кнопку <Общий ресурс> открывается окно со списком процессов. Из этого списка следует выбрать тот процесс, работу которого нужно исследовать и нажать кнопку <Ок> (рисунок 24).
Рисунок 24 - Выбор процесса для исследования
Программа выполняет анализ обращений выбранного процесса к ресурсам компьютера. Анализируются операции создания, удаления, переименования файлов
и каталогов, открытие файлов на запись и на чтение/запись. Далее программа
предлагает выбрать имя файла .PRD для сохранения списка объектов (рисунок 25).
Рисунок 25 - Выбор имени файла для сохранения ПРД
21
11443195.4012-037 99
Данные из сохраненного файла можно импортировать в список меток мандатного доступа в программе ACED32.EXE. Для этого на панели в главном окне программы нужно нажать кнопку <Команды>, далее выбрать пункт «Импорт
мандатных меток». В папке Accord.NT выбрать файл <имя_пользователя>.prd с сохраненным списком объектов. В параметрах импорта будет включен только один
пункт «Разграничение доступа» «Для объектов». После нажатия кнопки <Импорт> откроется дополнительное окно, в котором содержится список тех объектов, с которыми выбранный в программе AcProc.EXE процесс работал наиболее
интенсивно (рисунок 26).
Рисунок 26 - Список объектов в процедуре импорта
Администратор по кнопке <ОК> может добавить в базу ПРД весь список, а
может исключить некоторые объекты, сняв соответствующий флаг в левой колонке
списка.
После выполнения процедуры импорта новые объекты появляются в списке мандатного доступа уже с меткой «ОБЩИЙ_РЕСУРС» (рисунок 27).